Capture the flag (sicurezza informatica): differenze tra le versioni

Da Wikipedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca
Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
fix note
Laxr (discussione | contributi)
1 511 modifiche
aggiungo fonti aggiuntive, fix vari, fix note già presenti, wikifico.
Etichette: Modifica da mobile Modifica da web per mobile Modifica da mobile avanzata
Riga 2: Riga 2:
<!-- IMPORTANTE: NON CANCELLARE QUESTA RIGA, SCRIVERE SOTTO -->
<!-- IMPORTANTE: NON CANCELLARE QUESTA RIGA, SCRIVERE SOTTO -->


[[File:DEF_CON_17_CTF_competition.jpg|miniatura| Una squadra che partecipa alla competizione CTF al DEF CON 17]]
[[File:DEF_CON_17_CTF_competition.jpg|miniatura|Una squadra che partecipa alla competizione CTF al DEF CON 17]]
Le '''Capture the Flag''' ('''CTF''') nella [[sicurezza informatica]] sono un tipo di competizione in cui i partecipanti tentano di trovare stringhe di testo, chiamate "flag", nascoste in programmi o siti web volutamente [[Vulnerabilità informatica|vulnerabili]]. Vi si partecipa sia per scopi competitivi che educativi. Nelle due varianti principali di CTF, i partecipanti rubano bandiere da altre squadre (CTF attacco/difesa) o dall'infrastruttura degli organizzatori (CTF Jeopardy). Le CTF miste comprendono entrambi gli stili.<ref>{{Cita web|url=https://ctftime.org/ctf-wtf/|sito=ctftime.org|dataaccesso=2023-08-15}}</ref> Le competizioni possono includere flag nascoste nei dispositivi hardware, possono essere organizzate sia online che fisicamente e possono andare da un livello facile ad uno più avanzato. Il nome deriva dallo [[Rubabandiera|sport all'aria aperta con lo stesso nome]].
Le '''Capture the Flag''' (spesso abbreviata in '''CTF'''<ref>{{Cita web|url=https://cybexer.com/resource-center/capture-the-flag-exercise-explained/|titolo=A Capture-the-Flag (CTF) Exercise Explained|lingua=en|accesso=11 novembre 2023}}</ref><ref>{{Cita web|url=https://www.eccouncil.org/cybersecurity-exchange/cybersecurity-technician/capture-flag-ctf-cybersecurity/|titolo=Why Is Capture the Flag (CTF) Important in Cyber Security?|lingua=en|autore=David Tidmarsh|sito=Eccouncil.org|data=27 settembre 2023|acceso=11 novembre 2023}}</ref>) nella [[sicurezza informatica]] sono un tipo di competizione in cui i partecipanti tentano di trovare stringhe di testo, chiamate "flag", nascoste in programmi o siti web volutamente [[Vulnerabilità informatica|vulnerabili]]<ref>{{Cita web|url=https://www.cybersecurity360.it/cultura-cyber/capture-the-flag-cosi-i-team-di-hacking-individuano-le-vulnerabilita-in-software-e-sistemi/|titolo=Capture The Flag: così i team di hacking individuano le vulnerabilità in software e sistemi|sito=Cyber Security 360|autore=Vincenzo Digilio|data=4 maggio 2021|accesso=11 novembre 2023}}</ref>. Vi si partecipa sia per scopi competitivi che educativi. Nelle due varianti principali di CTF, i partecipanti rubano bandiere da altre squadre (CTF attacco/difesa) o dall'infrastruttura degli organizzatori (CTF Jeopardy). Le CTF miste comprendono entrambi gli stili.<ref>{{Cita web|url=https://ctftime.org/ctf-wtf/|titolo=What is Capture The Flag?|sito=ctftime.org|lingua=en|accesso=11 novembre 2023}}</ref> Le competizioni possono includere flag nascoste nei dispositivi hardware, possono essere organizzate sia online che fisicamente e possono andare da un livello facile ad uno più avanzato. Il nome deriva dallo [[Rubabandiera|sport all'aria aperta con lo stesso nome]]<ref>{{Cita web|url=https://cybersecurity.att.com/blogs/security-essentials/capture-the-flag-ctf-what-is-it-for-a-newbie|titolo=CTF Hacking: What is Capture the Flag for a Newbie?|lingua=Eric Brown|lingua=en|sito=[[AT&T]] Cybersecurity|data=23 dicembre 2019|accesso=11 novembre 2023}}</ref>.


== Descrizione ==
== Descrizione ==

Versione delle 22:20, 11 nov 2023

Questa pagina è la bozza di una voce (per i revisori: criteripubblica).
È ancora in lavorazione e non è stata revisionata.
Appena pronta, puoi richiederne la revisione e pubblicazione.
Nota bene Attenzione: la pagina risulta già pubblicata e questo avviso sarà presto rimosso.
Una squadra che partecipa alla competizione CTF al DEF CON 17

Le Capture the Flag (spesso abbreviata in CTF[1][2]) nella sicurezza informatica sono un tipo di competizione in cui i partecipanti tentano di trovare stringhe di testo, chiamate "flag", nascoste in programmi o siti web volutamente vulnerabili[3]. Vi si partecipa sia per scopi competitivi che educativi. Nelle due varianti principali di CTF, i partecipanti rubano bandiere da altre squadre (CTF attacco/difesa) o dall'infrastruttura degli organizzatori (CTF Jeopardy). Le CTF miste comprendono entrambi gli stili.[4] Le competizioni possono includere flag nascoste nei dispositivi hardware, possono essere organizzate sia online che fisicamente e possono andare da un livello facile ad uno più avanzato. Il nome deriva dallo sport all'aria aperta con lo stesso nome[5].

Descrizione

Le Capture the Flag (CTF) sono competizioni di sicurezza informatica organizzate per testare e sviluppare le proprie competenze di sicurezza informatica. Sono nate nel 1996 al DEF CON, la più grande conferenza sulla sicurezza informatica degli Stati Uniti ospitata ogni anno a Las Vegas, Nevada.[6] Le attività della conferenza si svolgono in un solo fine settimana, compresa la CTF. I due formati di CTF più popolari sono le Jeopardy e l'attacco/difesa.[7] Entrambi i formati mettono alla prova le conoscenze dei partecipanti in materia di sicurezza informatica, ciò che cambia è il soggetto d'attacco. Nel formato Jeopardy, i team partecipanti devono completare il maggior numero di sfide (challenge) di varie categorie come crittografia, sicurezza web e reverse engineering.[8] Nel formato attacco-difesa, le squadre partecipanti devono difendere i propri sistemi informatici vulnerabili ed attaccare quelli degli avversari.[7]

Risvolti didattici

Le CTF hanno dimostrato di essere un modo efficace per migliorare le competenze in sicurezza informatica attraverso la gamification .[9] Esistono molti esempi di CTF progettate per insegnare competenze di sicurezza informatica a un'ampia varietà di pubblico, come la PicoCTF, organizzata dal Carnegie Mellon CyLab, rivolta agli studenti delle scuole superiori, e pwn.college, supportata dalla Arizona State University .[10][11][12] Oltre ad essere eventi e metodi d'insegnamento verticali, le CTF hanno dimostrato di essere un modo molto efficace per accellerare l'apprendimento di concetti di sicurezza informatica nei percorsi di studio tradizionali.[13][14] Le CTF sono state incluse nei corsi universitari di informatica nel corso "Introduzione alla sicurezza" presso la University of Southern California .[15] Le CTF sono anche popolari nelle accademie militari. Sono spesso incluse come parte del curriculum per i corsi di sicurezza informatica, come l'esercitazione informatica organizzata dalla NSA che include l'organizzazione di una CTF tra le accademie di servizio degli Stati Uniti e le università militari.[16]

Competizioni

Competizioni delle community

Ogni anno vengono organizzate dozzine di CTF. Molte di queste fanno parte di conferenze sulla sicurezza informatica come DEF CON, HITCON e BSides . La DEF CON CTF, una competizione attacco/difesa, è nota per essere una delle più antiche competizioni, tanto da venire rinominata "World Series",[17] "Superbowl",[12][18] e " Olimpiadi",[19] di hacking dai media statunitensi. La NYU Tandon ha ospitato il Cybersecurity Awareness Worldwide (CSAW) CTF, una delle più grandi competizioni a ingresso libero per studenti appassionati di tutto il mondo.[8]Nel 2021 oltre 1200 squadre hanno preso parte al turno di qualificazione.[20]

Oltre alle CTF organizzate da conferenze, molti club e le stesse squadre organizzano competizioni CTF.[21] Diverse squadre sono associate alle università della propria città, come il team Plaid Parliament of Pwning associato alla CMU, che organizza la PlaidCTF.[8]

Competizioni sostenute dai governi

Tra le competizioni governative troviamo la DARPA Cyber Grand Challenge e l'ENISA European Cybersecurity Challenge. Nel 2023, la competizione Hack-a-Sat CTF sponsorizzata dalla US Space Force includeva un satellite orbitale che i partecipanti potevano violare mentre questo era in orbita.[22]

Competizioni supportate dalle aziende

Aziende e altre organizzazioni possono utilizzare le CTF come per formare o valutare i dipendenti ed i processi aziendali. I vantaggi delle CTF sono simili a quelli dell'utilizzo delle CTF in un ambiente educativo. Oltre agli gare interne, alcune società come Google e Tencent ospitano concorsi CTF aperte anche al pubblico.

Nella cultura popolare

  • In Mr. Robot, i video di un turno di qualificazione della DEF CON CTF vengono mostrati nell'intro della stagione 3 "eps3.0_power-saver-mode.h"
  • In The Undeclared War, una CTF appare nella scena iniziale della serie mentre viene utilizzata come esercizio di reclutamento dal GCHQ[23]
  • Go Go Squid!, è una serie televisiva incentrata sugli allenamenti e le CTF.[24]

Note

  1. ^ (EN) A Capture-the-Flag (CTF) Exercise Explained, su cybexer.com. URL consultato l'11 novembre 2023.
  2. ^ (EN) David Tidmarsh, Why Is Capture the Flag (CTF) Important in Cyber Security?, su Eccouncil.org, 27 settembre 2023.
  3. ^ Vincenzo Digilio, Capture The Flag: così i team di hacking individuano le vulnerabilità in software e sistemi, su Cyber Security 360, 4 maggio 2021. URL consultato l'11 novembre 2023.
  4. ^ (EN) What is Capture The Flag?, su ctftime.org. URL consultato l'11 novembre 2023.
  5. ^ (EN) CTF Hacking: What is Capture the Flag for a Newbie?, su AT&T Cybersecurity, 23 dicembre 2019. URL consultato l'11 novembre 2023.
  6. ^ vol. 1, pp. 120–129 vol.1, DOI:10.1109/DISCEX.2003.1194878, ISBN 0-7695-1897-4.
  7. ^ a b (EN) meusec.com, https://www.meusec.com/ctf/capture-the-flags-in-cybersecurity/. URL consultato il 2 novembre 2022.
  8. ^ a b c
  9. ^ DOI:10.1007/s10639-022-11451-4, https://oadoi.org/10.1007/s10639-022-11451-4.
  10. ^ (EN) ASU News, https://news.asu.edu/20210215-asu-cybersecurity-dojo-pwn-college-thwart-cyberattacks. URL consultato il 18 luglio 2023.
  11. ^ (EN) www.cylab.cmu.edu, https://www.cylab.cmu.edu/news/2023/02/0220-picoctf.html. URL consultato il 18 luglio 2023.
  12. ^ a b (EN) Pittsburgh Post-Gazette, https://www.post-gazette.com/news/education/2017/04/09/hacking-carnegie-mellon-cmu-pico-ctf-ppp-david-brumley-DefCon-Capture-the-Flag/stories/201704090092. URL consultato il 18 luglio 2023.
  13. ^ pp. 5479–5486, DOI:10.1109/HICSS.2016.677, ISBN 978-0-7695-5670-3.
  14. ^ SIGITE '17, pp. 47–52, DOI:10.1145/3125659.3125686, ISBN 978-1-4503-5100-3.
  15. ^ pp. 752–758, DOI:10.1145/3328778.3366893, ISBN 9781450367936.
  16. ^ www.nsa.gov, https://www.nsa.gov/Cybersecurity/NSA-Cyber-Exercise/. URL consultato il 18 luglio 2023.
  17. ^ (EN) CNBC, https://www.cnbc.com/2013/11/08/defcon-capture-the-flag-competition-is-only-for-top-hackers.html. URL consultato il 18 luglio 2023.
  18. ^ (EN) www.cmu.edu, https://www.cmu.edu/news/stories/archives/2022/august/cmu-hacking-team-wins-super-bowl-of-hacking-for-6th-time. URL consultato il 18 luglio 2023.
  19. ^ (EN) https://www.reuters.com/technology/hacker-tournament-brings-together-worlds-best-las-vegas-2022-08-17/.
  20. ^ (EN) CSAW, https://www.csaw.io/ctf. URL consultato il 2 novembre 2022.
  21. ^ Cybercompetitions: A survey of competitions, tools, and systems to support cybersecurity education, in Education and Information Technologies, 24 febbraio 2023, pp. 1–33, DOI:10.1007/s10639-022-11451-4.
  22. ^ (EN) www.theregister.com, https://www.theregister.com/2023/06/03/moonlighter_satellite_hacking/. URL consultato il 18 luglio 2023.
  23. ^ (EN) ISSN 0261-3077 (WC · ACNP), https://www.theguardian.com/tv-and-radio/2022/jul/07/some-staff-work-behind-armoured-glass-a-cybersecurity-expert-on-the-undeclared-war.
  24. ^ https://www.imdb.com/title/tt10369876/.

Voci correlate

Collegamenti esterni

  • ctftime.org - un archivio di competizioni CTF passate, in corso e pianificate.
  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica
Estratto da "https://it.wikipedia.org/w/index.php?title=Capture_the_flag_(sicurezza_informatica)&oldid=136389577"